CN114342333B - 在物理和逻辑网络之间提供有状态服务的透明隔离区 - Google Patents
在物理和逻辑网络之间提供有状态服务的透明隔离区 Download PDFInfo
- Publication number
- CN114342333B CN114342333B CN202080060192.9A CN202080060192A CN114342333B CN 114342333 B CN114342333 B CN 114342333B CN 202080060192 A CN202080060192 A CN 202080060192A CN 114342333 B CN114342333 B CN 114342333B
- Authority
- CN
- China
- Prior art keywords
- network
- edge device
- network edge
- logical
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims description 7
- 238000000034 method Methods 0.000 claims abstract description 109
- 230000008569 process Effects 0.000 claims description 87
- 238000012545 processing Methods 0.000 claims description 27
- 239000011241 protective layer Substances 0.000 claims 2
- 238000013507 mapping Methods 0.000 description 41
- 239000010410 layer Substances 0.000 description 11
- 230000008859 change Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 230000002085 persistent effect Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 238000013519 translation Methods 0.000 description 4
- 230000014616 translation Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013467 fragmentation Methods 0.000 description 2
- 238000006062 fragmentation reaction Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
- H04L45/245—Link aggregation, e.g. trunking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
Abstract
本发明的一些实施例提供用于在网络边缘装置(例如,NSX边缘)提供有状态服务的新方法,所述网络边缘装置具有多个朝北接口(例如,与外部网络的接口)和多个对应朝南接口(例如,与逻辑网络的接口)。在一些实施例中,网络边缘装置从逻辑网络从第一网关装置接收数据消息,向数据消息提供有状态网络服务,并且通过连接到物理网络的对应接口朝着目的地转发数据消息。
Description
背景技术
跨越两个或更多个等成本多径传输(ECMP)路径提供有状态服务出现了某些挑战。如果不同路径被选择用于转发和返回数据消息流的数据消息,则在一个路径上提供有状态服务的服务引擎可能无法跟踪数据消息流的状态,因为服务引擎将不会接收数据消息流的所有数据消息(即,将不会接收为其选择了替代路径的数据消息)。如果不同路径被组合以经过同一服务引擎,则路径选择不被考虑,因为组合的路径将会在组合的输出接口之中重新分配输入数据消息,以使得特定数据消息将会沿着与通过ECMP操作而选择的路径不同的路径被转发。因此,需要一种考虑ECMP路径选择并且在有状态服务引擎保持正确状态信息的解决方案。
发明内容
本发明的一些实施例提供用于在网络边缘装置(例如,NSX边缘)提供有状态服务的新方法,所述网络边缘装置具有多个朝北接口(例如,与外部网络的接口)和多个对应朝南接口(例如,与内部逻辑网络的接口)。网络边缘装置的朝北接口与朝南接口关联。在一些实施例中,所述关联是一一对应,而在其它实施例中,一些接口被分组(例如,聚合),并且所述组按照一一对应方式关联。网络边缘装置在接口从为数据消息选择特定路径(例如,在网络边缘装置的另一侧的转发元件的接口)的转发元件接收数据消息。在一些实施例中,路径的选择基于等成本多径传输(ECMP)或类似选择机制。在一些实施例中,网络边缘装置对于北转发元件和南转发元件而言是透明的,以使得它们不知道网络边缘装置被插入在北转发元件和南转发元件之间。
在一些实施例中,用于一组等成本路径(例如,ECMP组)的网络边缘装置的北(南)侧的一组接口在网络边缘装置中被绑定在一起以对应于逻辑桥的北(南)侧的单个接口,所述逻辑桥包括提供由网络边缘装置实现的有状态服务的至少一个逻辑交换机。在一些实施例中,使用在网络边缘装置上执行的绑定模块来实现所述绑定,所述绑定模块维护入口接口和出口接口之间的映射(除了标准绑定技术之外)以允许在存在被绑定接口的情况下的通过网络边缘装置的确定性转发。在一些实施例中,特定数据消息的入口侧的绑定模块将接收数据消息的入口接口的标识符与数据消息关联。在一些实施例中,所述关联被存储在数据消息的元数据中,并且在出口侧的绑定模块基于入口接口和出口接口之间的映射确定出口接口之后被去除。
在一些实施例中,所述至少一个逻辑交换机调用服务引擎以提供有状态服务。被绑定接口迫使ECMP组的所有业务经过同一组逻辑交换机,并且调用同一服务引擎以提供有状态服务,并且维护穿过逻辑交换机的每个流的状态信息。如果接口未被绑定并且分开的逻辑交换机(和服务引擎)在分开的路径上处理数据消息,则返回数据消息能够使用与原始消息不同的路径,并且状态信息将不会被服务引擎保持,并且有状态服务将不会合适地工作。
在一些实施例中,网络边缘装置在第一接口处接收数据消息,并且向与绑定模块关联的逻辑交换机接口提供数据消息。绑定模块将数据消息与入口接口的标识符关联。在一些实施例中,所述关联被插入在数据消息中,而在其它实施例中,标识符被附加到数据消息。在一些实施例中,服务引擎被逻辑交换机调用以提供有状态服务。服务引擎提供有状态服务,并且向与第二绑定模块关联的出口接口提供数据消息。在一些实施例中,第二绑定模块使用映射表来确定与入口接口关联的出口接口。在一些实施例中,逻辑处理去除入口接口标识符,并且向出口模块提供数据消息。
在一些实施例中,所述网络边缘装置是主网络边缘装置,并且辅网络边缘装置被实现为待机网络边缘装置。辅网络边缘装置复制主网络边缘装置的接口和关联,并且可用于在主网络边缘装置失效的情况下承担主网络边缘装置的功能。在一些实施例中,主网络边缘装置的失效由用户定义。在一些实施例中,失效的定义由用户提供的策略(例如,给定度量的阈值)来定义。在其它实施例中,当通过主网络边缘装置的所有路径失效时,发生失效切换。
在一些实施例中,替代于迫使所有数据消息穿过单个桥,与不同桥关联的每个接口基于在该接口处接收的数据消息中所包括的标识符调用服务引擎。每个数据消息流与特定标识符关联,所述特定标识符与提供有状态服务的特定服务引擎实例关联。在一些实施例中,接收数据消息的接口识别用于提供有状态服务的服务引擎,并且向识别的服务引擎提供数据消息。在处理数据消息之后,服务引擎向与入口接口关联的出口接口提供数据消息。
前面的发明内容旨在用作本发明的一些实施例的简要介绍。它并不意图用作这个文件中公开的所有发明主题的介绍或概述。下面的具体实施方式和在具体实施方式中参照的附图将会进一步描述发明内容中描述的实施例以及其它实施例。因此,为了理解由这个文件描述的所有实施例,需要充分查看发明内容、具体实施方式、附图和权利要求。此外,要求保护的主题不应该由发明内容、具体实施方式和附图中的说明性细节限制。
附图说明
在所附权利要求中阐述本发明的新特征。然而,为了解释的目的,在下面的附图中阐述本发明的几个实施例。
图1表示实现本发明的实施例的系统的示例性网络拓扑。
图2表示包括实现逻辑路由器和逻辑交换机(和DMZ)的北边缘装置的系统拓扑的特定实施例。
图3表示使用公共连接跟踪器实现本发明的实施例的系统的网络拓扑的特定实施例。
图4表示将不同服务引擎用于不同逻辑网络来实现本发明的实施例的系统的网络拓扑的特定实施例。
图5概念性地表示用于配置网络边缘装置以使用一组被绑定接口处理数据消息的处理,在被绑定接口之间具有确定性映射。
图6概念性地表示用于配置网络边缘装置以实现被绑定接口和绑定模块的处理,在一些实施例中,所述绑定模块维护产生的映射表。
图7表示在本发明的不同实施例中使用的两组映射表。
图8概念性地表示用于使用配置的网络边缘装置来提供有状态服务的处理。
图9表示连接第一北边缘路由元件和南边缘路由元件的一组网络边缘装置中的特定网络边缘装置。
图10表示执行本发明的网络的第二实施例。
图11表示包括活动和待机网络边缘装置的实施例。
图12概念性地表示用于失效处理的处理。
图13概念性地表示用于配置网络边缘装置以实现允许用于不同等成本路径的分开的逻辑交换机的本发明的实施例的处理。
图14概念性地表示用于在根据实施例配置的网络边缘装置处理数据消息的处理,其中一组共享服务引擎被实现用于所述一组逻辑交换机。
图15表示执行图14的处理的实施例。
图16概念性地表示用于在根据实施例配置的网络边缘装置处理数据消息的处理,其中公共连接跟踪器由每个逻辑交换机和与每个逻辑交换机关联的服务引擎共享。
图17表示执行图16的处理的实施例。
图18表示一些实施例的系统。
图19概念性地表示用来实现本发明的一些实施例的计算机系统。
具体实施方式
在下面的本发明的详细描述中,阐述和描述本发明的许多细节、示例和实施例。然而,对于本领域技术人员而言将会清楚而明晰的是,本发明不限于阐述的实施例,并且可在没有讨论的一些特定细节和示例的情况下实施本发明。
如本文件中所使用,术语“数据包”、“包”、“数据消息”或“消息”表示在网络上发送的具有特定格式的位的集合。应该理解,术语“数据包”、“包”、“数据消息”或“消息”可在这里被用于表示可在网络上发送的各种格式化的位的集合,诸如以太网帧、IP包、TCP段、UDP数据报等。尽管以下示例涉及数据包、包、数据消息或消息,但应该理解,本发明不应局限于任何特定格式或类型的数据消息。此外,如本文件中所使用,对L2、L3、L4和L7层(或层2、层3、层4、层7)的提及分别是对OSI(开放系统互连)层模型的第二数据链路层、第三网络层、第四传输层和第七应用层的提及。
在一些实施例中,基于作为源和目的地计算节点之间的同一通信会话的一部分,数据消息被组织成数据消息流。单向数据消息流经常由数据消息的一组头值(例如,TCP流的5元组,或者更一般地讲,n元组)定义。双向数据消息流既包括前向单向流又包括返回单向数据消息流(例如,具有相对于前向流相反的一组源和目的地地址的返回流)。为了本讨论的目的,除非另外指示,否则数据消息流将会表示双向数据消息流。
如本申请中所使用,用户定义的逻辑网络表示网络的特定逻辑抽象。在一些实施例中,逻辑抽象包括物理网络的网络元件(诸如,转发元件(例如,交换机、集线器、路由器、桥等)、负载平衡器和防火墙)的逻辑对应部分。在一些实施例中,逻辑转发元件(例如,逻辑交换机或逻辑路由器)由在主机上执行的一组MFE(例如,物理或虚拟/软件交换机或路由器)来实现。特定主机可托管连接到多个不同逻辑网络的数据计算节点(DCN)(例如,容器或虚拟机(VM)),并且所述一组MFE实现DCN在逻辑上连接到的所有逻辑网络。在第2016/0226754号美国专利公开中描述了逻辑网络的结构和功能的另外的细节,其通过引用包含于此。
网络边缘装置被实现在一些逻辑网络中。网络边缘装置将在网络边缘装置的第一侧的第一组转发元件连接到在网络边缘装置的第二侧的第二组转发元件。在一些实施例中,网络边缘装置在“裸机”环境中(即,直接在物理装置上)执行。在一些实施例中,第一组转发元件是在特定逻辑网络中实现分布式逻辑路由器的MFE,并且第二组转发元件是向外部网络提供连接性的逻辑网络中的服务路由器。在其它实施例中,第一组转发元件是逻辑网络中的一组逻辑转发元件(例如,路由器、交换机等),并且第二组转发元件是逻辑网络外部的一组转发元件。
在其它实施例中,网络边缘装置在两个网络之间(例如,两个逻辑网络、两个物理网络或在一个逻辑网络和一个物理网络之间)操作。在一些实施例中,与两个网络关联的两个网关装置(例如,网络边缘路由器)等同于被分成两个逻辑网关(例如,一个逻辑网关与每个网络关联)的单个逻辑网关以用于另外的安全性。在一些实施例中,网络边缘装置实现一组逻辑交换机。在一些实施例中,逻辑交换机是由多个网络边缘装置实现的分布式逻辑交换机。在一些实施例中,逻辑交换机与分布式有状态服务或一组有状态服务关联。
本发明的一些实施例提供用于在网络边缘装置(例如,NSX边缘)提供有状态服务的新方法,所述网络边缘装置具有多个朝北接口(例如,与外部网络的接口)和多个对应朝南接口(例如,与逻辑网络的接口)。网络边缘装置的朝北接口与朝南接口关联。在一些实施例中,所述关联是一一对应,而在其它实施例中,一些接口被分组(例如,聚合),并且所述组按照一一对应方式关联。网络边缘装置在接口从为数据消息选择特定路径(例如,在网络边缘装置的另一侧的转发元件的接口)的转发元件接收数据消息。在一些实施例中,路径的选择基于等成本多径传输(ECMP)或类似选择机制。在一些实施例中,网络边缘装置对于北转发元件和南转发元件而言是透明的,以使得它们不知道网络边缘装置被插入在北转发元件和南转发元件之间。例如,生存时间参数不减小,并且结合地或者替代地,源IP地址不被改变。
图1表示实现本发明的实施例的系统100的示例性网络拓扑。系统100包括连接外部网络105和内部网络110的一组网络转发元件。外部网络105和内部网络110分别连接到一组边缘路由器,即北边缘路由器120和南边缘路由器140,所述边缘路由器连接网络105和110。在一些实施例中,边缘路由器120和140是在物理网络边缘装置上实现的物理路由器和软件路由器的任何组合。在一些实施例中,软件路由器被实现为多个转发元件,诸如分布式路由器、转接逻辑交换机和服务路由器,如第2016/0226754号美国专利公开中所述。在一些实施例中,具体地讲,边缘路由器120和140是边缘装置的服务路由器。在一些实施例中,南边缘路由器140是用于内部网络110中的同一逻辑网络(或一组逻辑网络)的活动-活动边缘装置。在一些其它实施例中,南边缘路由器140具有活动-待机结构。
插入在北边缘路由器120和南边缘路由器140之间的是一组网络边缘装置101,每个网络边缘装置101执行一组逻辑交换机130和一组服务引擎131,所述逻辑交换机130和服务引擎131在北边缘路由器和南边缘路由器的接口之间的透明桥中提供一组网关服务。在一些实施例中,网络边缘装置101是裸机边缘装置。将在以下结合图5-17更详细地描述网关服务的提供。所述一组网络边缘装置101实现隔离区(DMZ)155,DMZ 155在外部网络105和内部网络110之间提供额外保护层。在一些实施例中,每个网络边缘装置提供特定内部(例如,逻辑网络)和外部网络之间的连接。
图2表示包括一组北边缘装置225的系统拓扑的特定实施例,每个北边缘装置225实现逻辑路由器220(对应于北边缘路由器120的服务路由器)和逻辑交换机130(和DMZ155)。与图1相反,外部网络是外部逻辑网络205。另外,在一些实施例中,逻辑路由器220是外部逻辑网络205的部件。图2表示单个北边缘装置225与内部网络(例如,逻辑网络)110的一组边缘路由器(例如,具有活动-活动或活动-待机结构)的一组连接。然而,在这个和其它实施例中,另外的类似的装置被用在系统200中以用于连接到另外的内部元件(例如,内部网络110中的另外的逻辑网络的边缘路由器)。
图3表示使用公共连接跟踪器实现本发明的实施例的系统300的网络拓扑的特定实施例。替代于单个逻辑交换机130,图3包括一组逻辑交换机330。在图17中描述使用一组逻辑交换机330的一个实施例。在一些实施例中,所述多个逻辑交换机330中的每个逻辑交换机330由构成DMZ 155的一组网络边缘装置实现。在一些实施例中,每个逻辑交换机包括关联的服务引擎331以便为穿越DMZ 155的数据消息提供服务。在其它实施例中,一组网络边缘装置中的每个网络边缘装置实现所述一组逻辑交换机330中的逻辑交换机的子集(例如,从一个逻辑交换机到全部逻辑交换机的任何地方)。在一些实施例中,服务引擎331共享连接跟踪器346,连接跟踪器346使用任何逻辑交换机330来维护经过DMZ的数据流的连接状态。
图3还包括一组南边缘路由器340和一组北边缘路由器120。在一些实施例中,每组边缘路由器120和340代表具有活动-活动或活动-待机结构之一的一组边缘装置。如以上所讨论,一些实施例将南边缘路由器实现为还包括用于逻辑网络(例如,内部网络110中的逻辑网络)的转接逻辑交换机和分布式路由器的边缘装置的部件。在一些实施例中,单个物理装置实现所述一组南(北)边缘路由器340(120)中的多个南(北)边缘路由器。在其它实施例中,所述一组边缘路由器120和340中的每个边缘路由器由不同边缘装置实现。使用活动-活动结构的一些实施例将不同业务分派给不同边缘装置(例如,使用分片技术)以确保特定数据消息流(例如,内部网络110中的计算节点和外部网络105中的计算节点之间的双向数据消息流)中的每个数据消息在同一边缘装置被处理以维护准确状态信息,而不必跨越边缘装置同步数据消息流状态信息。
图4表示将不同服务引擎用于不同逻辑网络来实现本发明的实施例的系统400的网络拓扑的特定实施例。图4包括一组逻辑交换机430,如图15中所述。在一些实施例中,所述多个逻辑交换机430中的每个逻辑交换机430由构成DMZ 155的一组网络边缘装置实现。在一些实施例中,每个网络边缘装置还执行与它为其提供有状态服务的不同租户或逻辑网络(例如,逻辑网络450A和450B)关联的一组服务引擎。在一些实施例中,每个逻辑交换机能够调用在同一网络边缘装置上执行的任何服务引擎431以便为穿越DMZ 155的数据消息提供服务。在一些实施例中,被调用的服务引擎取决于与将要被提供服务的数据消息关联的逻辑网络。在一些实施例中,每个服务引擎431具有它自己的连接跟踪器446以使用连接跟踪器446维护与与服务引擎431关联的逻辑网络450关联的数据消息的状态数据。结合图14和15讨论该实现方式的另外的细节。
图4还包括一组南边缘路由器440和一组北边缘路由器120。在一些实施例中,每组边缘路由器120和440代表具有活动-活动或活动-待机结构之一的一组边缘装置。如以上所讨论,一些实施例将南边缘路由器实现为还包括用于逻辑网络(例如,内部网络110中的逻辑网络)的转接逻辑交换机和分布式路由器的边缘装置的部件。在一些实施例中,南边缘路由器440包括在同一边缘装置上执行的用于两个逻辑网络450的南边缘路由器。在其它实施例中,每个逻辑网络的南边缘路由器440在不同的一组边缘装置上执行。在一些实施例中,单个物理装置实现所述一组南(北)边缘路由器440(120)中的多个南(北)边缘路由器。在其它实施例中,所述一组边缘路由器120和440中的每个边缘路由器由不同边缘装置实现。使用活动-活动结构的一些实施例将不同业务分派给不同边缘装置(例如,使用分片技术)以确保特定数据消息流(例如,内部网络110中的计算节点和外部网络105中的计算节点之间的双向数据消息流)中的每个数据消息在同一边缘装置被处理以维护准确状态信息,而不必跨越边缘装置同步数据消息流状态信息。
在一些实施例中,用于一组等成本路径(例如,ECMP组)的网络边缘装置的北(南)侧的一组接口在网络边缘装置中被绑定在一起以对应于逻辑桥的北(南)侧的单个接口,所述逻辑桥包括提供由网络边缘装置实现的有状态服务的至少一个逻辑交换机。在一些实施例中,使用在网络边缘装置上执行的绑定模块来实现所述绑定,所述绑定模块维护入口接口和出口接口之间的映射以允许在存在被绑定接口的情况下的通过网络边缘装置的确定性转发(除了标准绑定技术之外)。在一些实施例中,特定数据消息的入口侧的绑定模块将接收数据消息的入口接口的标识符与数据消息关联。在一些实施例中,所述关联被存储在数据消息的元数据中,并且在出口侧的绑定模块基于入口接口和出口接口之间的映射确定出口接口之后被去除。
在一些实施例中,所述至少一个逻辑交换机调用服务引擎以提供有状态服务。被绑定接口迫使ECMP组的所有业务经过同一组逻辑交换机,并且调用同一服务引擎以提供有状态服务,并且维护穿过逻辑交换机的每个流的状态信息。如果接口未被绑定并且分开的逻辑交换机(和服务引擎)在分开的路径上处理数据消息,则返回数据消息能够使用与原始消息不同的路径,并且状态信息将不会被服务引擎保持,并且有状态服务将不会合适地工作。图8-7表示配置和使用使用图9中描述的被绑定接口的示例性实施例的各方面。
图5概念性地表示用于配置网络边缘装置以使用一组被绑定接口处理数据消息的处理500,在被绑定接口之间具有确定性映射。在一些实施例中,处理500由网络管理器计算机(例如,虚拟化控制器、网络管理器等)执行。处理500开始于(在510)确定网络边缘装置的接口之间的映射。在一些实施例中,网络边缘装置是透明(例如,线路插件)装置,它提供服务,而不以对于转发元件而言显而易见的方式改变数据消息。因此,每个源转发元件期待从源转发元件/网络边缘装置的第一接口发送的数据消息将会到达网络边缘装置/目的地转发元件的第二接口,而非到达网络边缘装置/目的地转发元件的第三接口。因为这种期待,如果在第一接口处接收的数据消息在第三接口被接收到,则一组被绑定接口的正常功能(例如,通过循环或其它算法选择出口接口)将会破坏网络边缘装置的透明性(并且在一些实施例中,将会导致转发失败)。
在确定(在510)接口的映射之后,处理500产生(在520)用于在网络边缘装置上绑定接口的配置信息。在一些实施例中,配置信息包括用于绑定成桥接网络边缘装置的任一侧的网络的一组逻辑交换机的单个接口的接口组的标识。在一些实施例中,识别的接口组包括网络边缘装置的所有接口。在其它实施例中,所述接口组包括不是管理接口的所有接口。在一些实施例中,配置信息包括提供与所述一组逻辑交换机关联的有状态服务(例如,防火墙、网络地址转换、虚拟私有网络等)的服务引擎的配置。
在一些实施例中,配置信息包括一组映射信息(例如,映射表或表)以维护网络边缘装置的接口之间的确定性转发。在一些实施例中,所述一组映射表包括用于北侧和南侧绑定模块的分开的映射表。产生的配置数据随后被提供给(在530)一个网络边缘装置(或多个网络边缘装置)以便由网络边缘装置用来配置在网络边缘装置上执行的被绑定接口和绑定模块,并且该处理结束。
图6概念性地表示用于配置网络边缘装置以实现被绑定接口和绑定模块的处理600,在一些实施例中,所述绑定模块维护(在520)产生的映射表。处理600开始于(在610)接收用于配置网络边缘装置的被绑定接口和绑定模块的配置信息。在一些实施例中,从网络管理器计算机接收配置数据。在一些实施例中,配置信息识别将要被绑定成逻辑交换机的单个接口的接口。在一些实施例中,配置信息识别将要被绑定成南侧逻辑交换机的接口的第一组接口和将要被绑定成北侧逻辑交换机的接口的第二组接口。在一些实施例中,配置信息还包括一组映射表,所述一组映射表包括网络边缘装置的个体接口之间的映射。
在接收(在610)配置信息之后,处理600配置(在620)网络边缘装置以将识别的接口绑定成单个逻辑接口,并且维护映射表,在一些实施例中,映射表被存储在绑定模块中。在一些实施例中,配置接口绑定包括(通过被绑定接口)配置构成网络边缘装置的任一侧的网络之间的桥的所述一组逻辑交换机。在一些实施例中,单个逻辑交换机被实现,每个被绑定接口对应于实现的逻辑交换机的不同接口。在其它实施例中,一对逻辑交换机(即,北侧逻辑交换机和南侧逻辑交换机)被实现,每组被绑定接口连接到对应逻辑交换机。在一些实施例中,逻辑交换机配置数据包括提供有状态服务的服务引擎的配置信息。
在一些实施例中,网络边缘装置还配置绑定模块以存储接收的(一个或多个)映射表。在一些实施例中,网络边缘装置存储每个绑定模块可访问的单个映射表,而在其它实施例中,每个绑定模块存储分开的映射表。在一些实施例中,映射表被接收为单个映射表,所述单个映射表在网络边缘装置被分割成两个分开的表。在图7中描述两组示例性映射表。本领域普通技术人员将会理解,存在特定示例的描述未包括的用于存储映射表的许多方式。
图7表示在本发明的不同实施例中使用的两组映射表710和720。映射表710是单个映射表,它包括网络边缘装置的每个可能的入口接口和网络边缘装置的出口接口之间的关联。每个绑定模块使用表710来识别与特定入口接口关联的数据消息的出口接口。
映射表组720包括由不同绑定模块存储的两个不同映射表(例如,720A和720B)。映射表720A用于绑定接口fp-eth0和fp-eth1的第一绑定模块,并且映射表720B用于绑定接口fp-eth2和fp-eth3的第二绑定模块。由绑定模块存储的每个个体表720A和720B仅存储它未绑定的接口的条目721,因为从它绑定的接口接收的数据消息被提供给逻辑交换机和另一绑定模块以基于入口接口确定出口接口。
在一些实施例中,网络边缘装置在第一接口处接收数据消息,并且向与绑定模块关联的逻辑交换机接口提供数据消息。绑定模块将数据消息与入口接口的标识符关联。在一些实施例中,所述关联被插入在数据消息中,而在其它实施例中,标识符被附加到数据消息。在其它实施例中,入口接口被存储为与数据消息关联的元数据。在一些实施例中,服务引擎被逻辑交换机调用以提供有状态服务。服务引擎提供有状态服务,并且向与第二绑定模块关联的出口接口提供数据消息。在一些实施例中,第二绑定模块使用映射表来确定与入口接口关联的出口接口。在一些实施例中,逻辑处理去除入口接口标识符,并且向出口模块提供数据消息。
图8概念性地表示用于使用配置的网络边缘装置来提供有状态服务的处理800。处理800由网络边缘装置执行,但本领域普通技术人员将会理解,网络边缘装置的不同模块可负责处理800的不同操作。处理800开始于(在810)在网络边缘装置的第一入口接口处接收数据消息。在一些实施例中,由上游转发元件(例如,执行ECMP操作的路由器)基于接口的选择从多个可能的接口(例如,路径)接收数据消息。
在第一接口处接收(在810)数据消息之后,处理800确定(在820)与数据消息关联的入口接口,并且存储数据消息的入口接口的标识符。在一些实施例中,识别的入口接口被存储在与数据消息关联的元数据中。在一些实施例中,所述标识符被存储在数据包本身中(例如,存储在数据消息的封装头或其它未使用部分中)。本领域普通技术人员将会理解,存储入口接口标识符的另外的方法是可能的。与入口接口的标识符关联的数据消息随后被提供给与被绑定接口关联的逻辑交换机接口。
逻辑交换机(或与逻辑交换机关联的服务引擎)向数据消息提供(在830)有状态服务。在一些实施例中,逻辑交换机接口调用与逻辑交换机关联的服务引擎。在一些实施例中,有状态服务是防火墙、网络地址转换和VPN中的至少一个。如果有状态服务是防火墙,则提供有状态服务能够导致数据消息被丢弃。然而,为了说明的目的,图8的描述假设允许数据消息。本领域普通技术人员将会理解,如果数据消息被丢弃,则处理800不会前进至下一操作。一旦服务引擎已提供有状态服务,在一些实施例中,数据消息被返回到逻辑交换机接口(数据消息从所述逻辑交换机接口被调用),而在其它实施例中,它被提供给网络边缘装置的出口侧(对于特定数据消息而言)的下一个逻辑交换机的接口(例如,与被绑定接口关联的接口)。
绑定模块随后使用映射表基于存储的入口接口标识符识别(在840)数据消息的出口接口。入口接口标识符与映射表中的特定出口接口关联。在一些实施例中,对于不同的流,能够存在接口之间的不同关联。在这种实施例中,分开的映射表被存储用于每个流,并且通过流标识符而被识别,诸如数据消息流中的数据消息的头值的五元组或散列值。
绑定模块随后去除(在850)入口接口标识符,并且向出口接口提供数据消息以转发给数据消息的下一个跳跃。在一些实施例中,标识符的去除是可选的。例如,如果标识符被存储在数据消息头的未使用部分中以使得它将不会影响随后的转发操作或数据消息的内容,则不需要去除标识符,并且操作850将会仅仅向识别的出口接口提供数据消息。一旦数据消息被提供给出口接口并且转发给下一个跳跃,该处理结束。
图9表示连接(一组北边缘路由元件中的)第一北边缘路由元件920和(一组南边缘路由元件中的)南边缘路由元件930的一组网络边缘装置中的特定网络边缘装置910,北边缘路由元件920连接到接口905A(例如,fp-eth0)和905B(例如,fp-eth1),南边缘路由元件930连接到接口905C(例如,fp-eth2)和905D(例如,fp-eth3)。路由元件920和930之间的路径(即,905A到905C和905B到905D)在示出的实施例中是等成本的,并且任一路径能够被选择用于在路由(例如,转发)元件920和930之间发送数据消息。网络边缘装置910包括由虚线椭圆960指示的被绑定接口以及分别支持网络边缘装置910的北侧和南侧的被绑定接口的绑定模块912A和912B。在一些实施例中,绑定模块912被实现为一组逻辑交换机914的一部分,所述一组逻辑交换机914(1)提供北网络和南网络之间的桥和(2)为穿过该桥的数据消息提供有状态服务。图9中的桥被描述为两个逻辑交换机914A和914B,然而,在一些其它实施例中,桥被使用单个逻辑交换机来实现,所述单个逻辑交换机具有连接到北侧和南侧被绑定接口的分开的接口(例如,端口)。
逻辑交换机914向经过所述两个网络之间的所述一组逻辑交换机914的数据消息提供有状态服务。在一些实施例中,有状态服务由服务引擎913提供,服务引擎913提供可能需要处理数据消息流中的所有数据消息以获得合适的性能的防火墙服务、网络地址转换、虚拟私有网络等。在一些实施例中,另外的服务由另外的服务引擎(为了清楚而未示出)提供。通过在逻辑交换机接口绑定所述两个等成本路径,本发明确保沿着任一路径发送的所有数据消息由同一服务引擎913处理以确保在服务引擎维护的状态信息是完整的。当路径940A连接接口905A和905C并且路径940B连接接口905B和905D时,绑定模块存储映射表,该映射表确保在任何特定接口处接收的业务使用对应接口而被转发给目的地。本领域普通技术人员将会理解,在一些实施例中,存在远超过两个等成本路径,并且在图9中为了清楚而示出两个路径。
图10表示执行本发明的网络的第二实施例。图10表示连接第一组北边缘路由元件1020和第二组南边缘路由元件1030的特定网络边缘装置1010,第一组北边缘路由元件1020连接到接口1005A-C,第二组南边缘路由元件1030连接到接口1005D-F。路由元件组1020和1030帮助连接网络边缘装置1010的任一侧的网络中的其它路由元件1025。路由元件组1020和1030中的路由(例如,转发)元件之间的路径(即,1005A到1005D和1005B到1005E和1005C到1005F)在示出的实施例中是等成本的,并且它们中的任何路径能够被选择用于在路由元件1025之间发送数据消息。网络边缘装置1010包括绑定模块1012,绑定模块1012分别支持网络边缘装置1010的北侧和南侧的被绑定接口。在一些实施例中,绑定模块是实现接口绑定并且存储映射表或者以其它方式维护特定接口之间的连接的逻辑交换机的功能。绑定模块1012支持单个逻辑交换机1014的不同接口,所述单个逻辑交换机1014(1)提供北网络和南网络之间的桥和(2)使用服务引擎1013为穿过该桥的数据消息提供有状态服务。图10中的桥被描述为一个逻辑交换机1014,然而,在一些其它实施例中,桥被使用多个逻辑交换机来实现,像图9中一样。
逻辑交换机1014向经过所述两个网络之间的逻辑交换机1014的数据消息提供有状态服务。在一些实施例中,有状态服务由服务引擎1013提供,服务引擎1013提供可能需要处理数据消息流中的所有数据消息以获得合适的性能的防火墙服务、网络地址转换、虚拟私有网络等。在一些实施例中,另外的服务由另外的服务引擎(为了清楚而未示出)提供。通过绑定所述两个等成本路径,本发明确保沿着任一路径发送的所有数据消息由同一服务引擎1013处理以确保在服务引擎维护的状态信息是完整的。当路径1040A连接接口1005A和1005D、路径1040B连接接口1005B和1005E并且路径1040C连接接口1005C和1005F时,绑定模块存储映射表,该映射表确保在任何特定接口处接收的业务使用对应接口而被转发给目的地。本领域普通技术人员将会理解,在一些实施例中,存在远超过三个等成本路径,并且在图10中为了清楚而示出三个路径。
在一些实施例中,所述网络边缘装置是主网络边缘装置,并且辅网络边缘装置被实现为待机网络边缘装置。辅网络边缘装置复制主网络边缘装置的接口和关联,并且可用于在主网络边缘装置失效的情况下承担主网络边缘装置的功能。在一些实施例中,主网络边缘装置的失效由用户定义。在一些实施例中,失效的定义由用户提供的策略(例如,给定度量的阈值)来定义。在其它实施例中,当通过主网络边缘装置的所有路径失效时,发生失效切换。
图11表示包括活动和待机网络边缘装置1110A和1110B的实施例。图11表示由通过活动网络边缘装置1110A和待机网络边缘装置1110B中的每个网络边缘装置的三个路径连接的边缘路由(转发)元件对1120和1130。绑定由1160指示,在一些实施例中,1160代表与边缘装置1110的被绑定接口关联的逻辑接口的每个逻辑交换机1114的标准绑定操作。类似于图9,网络边缘装置1110提供一组被绑定接口1105A-C(在北侧)和1105D-F(在南侧)以及连接边缘路由(转发)元件对1120和1130的一组逻辑交换机1114。提供有状态服务的服务引擎为了清楚而被从示出的实施例省略,但应该被理解为是存在的,像图9和10中一样。像图9和10中一样,网络边缘装置1110的接口被确定性地配对,以使得进入接口1105的数据消息从1105D离开(支持确定性映射的绑定模块未被示出)。
在一些实施例中,待机边缘装置1110B具有一组等同接口(在北侧的1105A-C和在南侧的1105D-F),并且将通过待机边缘装置1110B的接口的路径的成本通告为具有比通过活动边缘装置1110A的等同接口的路径高的成本,以使得以边缘路由器对1130为目的地的所有数据消息经过活动边缘装置1110A。当在边缘装置提供有状态服务时,经常使用活动-待机结构。在图12中描述采用活动和待机网络边缘装置的类似实施例的失效切换处理。
因为边缘装置对于路由元件而言是透明的,所以在一些实施例中,当与边缘装置的特定连接失效时(例如,北边缘路由元件1120B和边缘装置1110A上的接口1105B之间的连接),边缘装置1110负责关闭在边缘装置1110的另一侧的对应连接(例如,南边缘路由元件1130A和边缘装置1110A上的接口1105E之间的连接)。在接口1105B或1105E失效的情况下,使用边缘路由元件1130B,来自北侧的网络内的业务仍然能够到达南侧的网络中的目的地,反之亦然。因此,如结合图12所述,待机边缘装置1110B未必需要变为活动边缘装置。
图12概念性地表示用于失效处理(即,失效切换)的处理1200。处理1200由网络边缘装置或监测活动网络边缘装置(例如,网络边缘装置1110A)的健康的网络管理器计算机执行。处理1200开始于接收(在1210)失效切换策略,所述失效切换策略定义如何处理不同的失效。在一些实施例中,从用户接收失效切换策略,并且失效切换策略指定触发待机网络边缘装置变为活动网络边缘装置的一组连接(链路)度量(例如,丢弃的数据消息、带宽、当前负载度量、可靠性度量和容量度量)的阈值。在一些实施例中,活动网络边缘装置的变化仅应用于新的数据消息流,已有数据消息流被引导到以前的活动网络边缘装置。在其它实施例中,在失效切换时,所有数据消息流被引导到新的活动网络边缘装置。
在一些实施例中,在由网络边缘装置实现的一个逻辑交换机(或多个交换机)的级别(例如,在逻辑交换机端口或接口的级别)确定链路失效。在将不同组逻辑交换机用于每组关联(配对)的接口(即,不使用具有确定性转发的绑定)的以前的实施例中,失效检测需要分开的监测和失效切换,这引入另外的复杂性。在示出的实施例中,监测单个逻辑交换机失效更简单,并且在所有路径已失效之前不需要失效切换。另外,如上所述,通过基于网络之间的组合的多个链路的连接度量设立条件失效切换,用户能够设置除完全失效之外的失效切换的策略。因此,与多个链路中的单个链路失效能够触发失效切换事件的情况相比,网络拓扑保持更长的时间段。
处理1200随后前进至监测(在1220)链路(代表所有被绑定接口上的组合的链路)。在一些实施例中,链路监测包括监测在默认或用户指定的策略中指定的度量。在一些实施例中,监测由当满足失效切换的条件时开始失效切换处理的网络管理器计算机执行。在一些实施例中,监测由待机网络边缘装置执行以确定它是否需要开始失效切换处理并且变为新的活动网络边缘装置。
处理1200基于监测的度量和接收的失效切换策略确定(在1230)失效切换处理是否已被触发。如果所述策略未满足,即,度量未从可接受值到不可接受值跨越指定的阈值,则该处理返回以监测(在1220)链路。在一些实施例中,所述策略指定多个阈值,以使得在触发失效切换处理之前,第一阈值可被跨越指定时间段,而第二阈值被指定,以使得第二阈值的任何跨越触发失效切换处理。
如果处理1200基于监测的度量确定(在1230)失效切换策略触发失效切换,则该处理开始(在1240)失效切换处理。在一些实施例中,失效切换处理使以前待机的网络边缘装置以更低成本通告它的可用性,并且使以前活动的网络边缘装置以更高成本通告它的可用性,以使得所有业务现在被引导到新的活动的(以前待机的)装置。本领域普通技术人员将会理解,存在这里未描述的处理失效切换的另外的方式。
在一些实施例中,替代于迫使所有数据消息穿过单个桥,与不同桥关联的每个接口基于在该接口处接收的数据消息中所包括的标识符调用服务引擎。每个数据消息流与特定标识符关联,所述特定标识符与提供有状态服务的特定服务引擎实例关联。在一些实施例中,接收数据消息的接口识别用于提供有状态服务的服务引擎,并且向识别的服务引擎提供数据消息。在处理数据消息之后,服务引擎向与入口接口关联的出口接口提供数据消息。
在其它实施例中,每个逻辑交换机具有关联的服务引擎,并且使用单个连接跟踪器来维护每个服务引擎可访问的状态信息,以确保数据消息流的所有数据消息使用当前状态信息而被处理。在一些实施例中,连接跟踪器被实现为由网络边缘装置中的每个服务引擎查询的网络边缘装置中的轻量级数据库。在一些实施例中,连接跟踪器被实现为简单的表。本领域普通技术人员将会理解,这些仅是连接跟踪器可被实现的许多方式的两个示例。
在一些实施例中,每个服务引擎被编程用于与不同逻辑网络关联的规则,并且与特定数据消息关联的规则集使用存储在数据消息中或与数据消息关联的标识符(例如,VLAN标签)而被识别。服务引擎使用识别的规则集和连接跟踪器中的信息来提供有状态服务。在处理数据消息之后,服务引擎向服务引擎所关联的逻辑交换机(例如,向逻辑交换机的出口接口)提供数据消息。
图13概念性地表示用于配置网络边缘装置以实现允许用于不同等成本路径的分开的逻辑交换机的本发明的实施例的处理1300。从正被配置的单个网络边缘装置的角度描述处理1300,但本领域普通技术人员将会理解,类似于在图5中描述的处理500,在一些实施例中,网络管理器计算机产生配置数据并且向网络边缘装置发送配置数据。另外,在一些实施例中,处理1300由实现DMZ的一组多个边缘装置中的每个网络边缘装置执行。本领域普通技术人员将会理解,存在可执行处理1300的不同部分的网络边缘装置的另外的内部部件(例如,用于接收配置数据的代理和用于配置网络边缘装置以根据接收的配置数据配置网络边缘装置的本地控制器)。
处理1300开始于接收(在1310)用于配置(实现)一组服务引擎实例的配置信息,每个服务引擎实例在网络边缘装置上提供一组有状态服务。在一些实施例中,每个服务引擎实例与不同标识符关联。在一些实施例中,所述标识符是与数据消息流关联的标识符,以使得特定数据消息流中的每个数据消息将会具有相同标识符并且与同一服务引擎实例关联。在一些实施例中,标识符与从其接收数据消息流的网络关联(例如,VLAN或VXLAN标签、IP地址前缀等)。因此,与特定标识符关联的服务引擎的连接跟踪器将会处理数据消息流的所有数据消息,并且维护当前正确状态信息。
在其它实施例中,每个服务引擎与特定逻辑交换机关联,并且包括用于由网络边缘装置服务的多个不同逻辑网络的多个规则集。在一些实施例中,配置信息还包括用于共享连接跟踪器的配置信息,所述共享连接跟踪器维护由在网络边缘装置上实现的所有服务引擎和逻辑交换机处理的数据消息流的状态信息。通过使用从每个服务引擎/逻辑交换机可访问的共享连接跟踪器,网络边缘装置允许同一数据消息流的数据消息由不同逻辑交换机和服务引擎处理,同时维护当前完整状态数据。这与每个逻辑交换机/服务引擎使用分开的连接跟踪器的情况形成对比,在那种情况下,使用不同逻辑交换机开始的数据消息流中的在特定逻辑交换机接收的数据消息将不会被识别为属于已有流,并且可能被丢弃或按照与该数据消息流中的其它数据消息不同的方式处理。在一些实施例中,为每个数据消息流维护状态信息,并且状态信息包括网络标识符(例如,与网络关联的VLAN或VXLAN标签、IP地址前缀等)以及唯一地识别数据消息流的流标识符(例如,n元组)。
网络边缘装置随后接收(在1320)配置信息以配置网络边缘装置的特定接口组之间的多个桥。在一些实施例中,配置信息包括要实现的一组逻辑交换机、桥接的接口的身份和链接的接口(例如,使用链路聚合控制协议(LACP)链接到链路聚合组(LAG)中)。在一些实施例中,接收的配置信息还包括用于配置接口(例如,网络边缘装置的物理接口或逻辑交换机的逻辑接口)的配置信息以基于接收的数据消息中所包括的标识符调用特定服务引擎实例。在一些实施例中,用于特定接口的配置信息包括由该接口调用的特定服务引擎,并且接收的数据消息的标识符由服务引擎用来确定应用于接收的数据消息的服务规则集。本领域普通技术人员将会理解,在一些实施例中,接收配置信息的次序可颠倒或组合成单个操作。
网络边缘装置随后配置(在1330)由配置信息指定的桥和服务引擎实例。在一些实施例中,网络边缘装置现在包括一组桥接的接口和能够从任何接口调用的一组服务引擎实例。在其它实施例中,网络边缘装置现在包括由所述一组桥接的接口(即,由逻辑交换机)共享的公共连接跟踪器和与所述一组桥接的接口关联的所述一组服务引擎实例。如结合图14-17所述,网络边缘装置现在准备好实现本发明,并且该处理结束。
图14概念性地表示用于在根据处理1300的实施例配置的网络边缘装置处理数据消息的处理1400,其中一组共享服务引擎被实现用于所述一组逻辑交换机。在一些实施例中,处理1400由网络边缘装置执行,并且本领域普通技术人员将会理解,网络边缘装置的不同模块或部件执行处理1400的不同操作。处理1400开始于在网络边缘装置的特定接口处接收(在1410)数据消息流的数据消息。数据消息包括与数据消息流中的每个数据消息关联的特定标识符,例如VLAN标签。
处理1400随后识别(在1420)与所述特定标识符关联的服务引擎实例。在一些实施例中,服务引擎实例与可由接口访问的表中的特定标识符关联。在一些实施例中,所述关联是VLAN标签和服务引擎之间的关联。在其它实施例中,所述关联基于针对特定流不变的其它数据消息流属性。
在服务引擎实例被识别之后,处理1400调用(在1430)识别的服务引擎。在一些实施例中,从网络边缘装置的接口调用识别的服务引擎实例。在其它实施例中,从桥接(连接)网络边缘装置的两个接口的一组逻辑交换机的逻辑交换机接口调用识别的服务引擎。
识别的服务引擎向数据消息提供(在1440)有状态服务,并且将数据消息转发给它的目的地。在一些实施例中,数据消息被返回到入口接口以跨越所述桥发送给出口接口。在其它实施例中,数据消息通过逻辑交换机接口而被转发给出口接口,并且最终转发给目的地。一旦服务引擎已将数据消息转发给它的目的地,处理1400结束。本领域普通技术人员将会理解,通过使用对于特定数据消息流而言不变的标识符来确定服务引擎实例,数据消息流的所有数据消息由同一服务引擎实例处理,并且在服务引擎实例维护的状态信息是完整的。
图15表示执行处理1400的实施例。图15表示网络边缘装置1510,网络边缘装置1510在连接到接口1505A-E的第一组北边缘路由元件1520和连接到接口1505F-J的第二组南边缘路由元件1530之间提供一组路径。每组关联的接口(例如,1505A和1505F)由单个逻辑交换机连接,并且在描述的实施例中,包括被配置为链路聚合组1540的接口组(即,1505D/1505E和1505I/1505J),聚合的接口也通过单个逻辑交换机1514而连接。图15还表示一组服务引擎实例1545,所述一组服务引擎实例1545在网络边缘装置上执行并且能够被从任何接口(例如,被配置为调用服务引擎的任何接口)调用以便为在接口处接收的数据消息提供有状态服务。
图15还表示外部(北侧)和内部(南侧)网络中的示例性路由元件1525A和1525B。在一些实施例中,外部路由元件1525A将每个北边缘路由元件1520视为通向在内部路由元件1525B后面(或下方)的目的地的等成本路径。因此,在试图到达目的地时,外部路由元件1525A可选择任一北边缘路由器1520作为下一个跳跃,并且该决定可基于与任何示出的系统部件无关的因素在流的寿命期间变化。类似地,在一些实施例中,北边缘路由元件1520将通向内部路由元件1525B的每个路径视为是等成本的,并且可选择任一南边缘路由器1530作为下一个跳跃,并且该决定可基于与任何示出的系统部件无关的因素在流的中间变化。在实施处理1400的这种实施例中,路径选择的变化不影响有状态服务的提供,因为同一服务引擎由每个逻辑交换机基于在流的寿命期间不变的流标识符调用。
在一些实施例中,每个逻辑交换机具有关联的服务引擎,并且使用单个连接跟踪器来维护每个服务引擎可访问的状态信息,以确保数据消息流的所有数据消息使用当前状态信息而被处理。在一些实施例中,每个服务引擎被编程用于与不同逻辑网络关联的规则,并且与特定数据消息关联的规则集使用存储在数据消息中或与数据消息关联的标识符(例如,VLAN标签)而被识别。服务引擎使用识别的规则集和连接跟踪器中的信息来提供有状态服务。在处理数据消息之后,服务引擎向服务引擎所关联的逻辑交换机(例如,向逻辑交换机的出口接口)提供数据消息。
图16概念性地表示用于在根据处理1300的实施例配置的网络边缘装置处理数据消息的处理1600,其中公共连接跟踪器由每个逻辑交换机和与每个逻辑交换机关联的服务引擎共享。在一些实施例中,处理1600由网络边缘装置执行,并且本领域普通技术人员将会理解,网络边缘装置的不同模块或部件执行处理1600的不同操作。处理1600开始于在网络边缘装置的特定接口处接收(在1610)数据消息流的数据消息。数据消息包括与数据消息流中的每个数据消息关联的特定标识符,例如VLAN标签。
处理1600随后将数据消息状态信息记录(在1620)在共享连接跟踪器中。在一些实施例中,状态信息包括数据消息的一组标识符(例如,n元组)和与数据消息关联的网络的标识符(例如,VLAN或VXLAN标签、IP地址源或目的地子网等),所述标识符被用于在共享连接跟踪器中明确地识别数据消息流。在接收用于TCP连接的ACK数据消息时,发生由处理1600记录的状态信息的一个示例。响应于接收到ACK数据消息,处理1600更新连接跟踪器中的条目以识别出TCP连接已被建立。这种行为不同于将分开的连接跟踪器用于每个逻辑交换机的实施例,在那种实施例中,在与接收SYN或SYN/ACK数据消息的接口不同的接口上接收的ACK数据消息将不会具有识别出TCP连接被建立所需的状态信息。本领域普通技术人员将会理解,基于接收的不同数据消息流的数据消息,维护和更新另外的状态信息。
一旦数据消息状态信息被记录在共享连接跟踪器中,该处理调用(在1630)与接收数据消息的特定接口(即,逻辑交换机)关联的服务引擎实例。在一些实施例中,从网络边缘装置的接口调用识别的服务引擎实例。在其它实施例中,从桥接(连接)网络边缘装置的两个接口的一组逻辑交换机的逻辑交换机接口调用识别的服务引擎。在一些实施例中,服务引擎实例存储应用于与特定标识符关联的不同网络(例如,逻辑网络或子网)的多个服务规则集。本领域普通技术人员将会理解,在一些实施例中,作为提供服务的一部分,由服务引擎访问(和更新)连接跟踪器信息。
一旦数据消息已被发送(在1630)给特定服务引擎,处理1600基于与数据消息关联的标识符识别(在1640)适用于数据消息的服务规则集。在一些实施例中,所述标识符是与数据消息流中的每个数据消息关联并且与由服务引擎存储的服务规则集关联的网络标识符(例如,VLAN或VXLAN标签、IP地址前缀等)。在其它实施例中,所述关联基于针对特定流不变的其它数据消息流属性。在一些实施例中,连接跟踪器被用于基于与数据消息关联的标识符(例如,n元组或n元组和网络标识符)识别以前应用于数据消息流的特定规则或动作。
服务引擎基于识别的适用规则集向数据消息提供(在1650)有状态服务,并且将数据消息转发给它的目的地。在一些实施例中,数据消息被返回到入口接口以跨越所述桥发送给出口接口。在其它实施例中,数据消息通过逻辑交换机接口而被转发给出口接口,并且最终转发给目的地。一旦服务引擎已将数据消息转发给它的目的地,处理1600结束。本领域普通技术人员将会理解,通过使用对于特定数据消息流而言不变的标识符来确定一组服务引擎实例,数据消息流的所有数据消息由同一服务引擎实例处理,并且在服务引擎实例维护的状态信息是完整的。
图17表示执行处理1600的实施例。图17表示网络边缘装置1710,网络边缘装置1710在连接到接口1705A-E的第一组北边缘路由元件1720和连接到接口1705F-J的第二组南边缘路由元件1730之间提供一组路径。在一些实施例中,北边缘路由元件和南边缘路由元件是由边缘装置(例如,NSX边缘)实现的集中式逻辑路由器,在一些实施例中,所述边缘装置还实现转接逻辑交换机和分布式路由器,如第2016/0226754号美国专利公开中所述。在一些实施例中,边缘路由元件被按照活动-活动结构配置,而在其它实施例中,它们被按照活动-待机结构配置。
每组关联的接口(例如,1705A和1705F)由单个逻辑交换机连接,并且在描述的实施例中,包括被配置为链路聚合组1740的接口组(即,1705D/1705E和1705I/1705J),聚合的接口也通过单个逻辑交换机1714而连接。图17还表示一组相同的服务引擎实例1745,所述一组服务引擎实例1745在网络边缘装置上执行并且与不同逻辑交换机的接口关联以便为在接口处接收的数据消息提供有状态服务。图17还描述由每个逻辑交换机用来维护穿越网络边缘装置1710的数据消息流的状态的共享连接跟踪器1746。如结合图1所述,在一些实施例中,服务引擎1745被用于提供不同的有状态服务或无状态服务的一组服务引擎替换,并且为了清楚,仅一个服务引擎被示出。在使用与每个逻辑交换机关联的另外的服务引擎的实施例中,提供不同服务的服务引擎全都使用连接跟踪器1746。在其它实施例中,提供特定有状态服务的每个服务引擎与提供所述特定有状态服务的服务引擎共用的特定连接跟踪器关联(例如,调用或查询)。
图17还表示外部(北侧)和内部(南侧)网络中的示例性路由元件1725A和1725B。在一些实施例中,外部路由元件1725A将每个北边缘路由元件1720视为通向在内部路由元件1725B后面(或下方)的目的地的等成本路径。因此,在试图到达目的地时,外部路由元件1725A可选择任一北边缘路由器1720作为下一个跳跃,并且该决定可基于与任何示出的系统部件无关的因素在流的寿命期间变化。类似地,在一些实施例中,北边缘路由元件1720将通向内部路由元件1725B的每个路径视为是等成本的,并且可选择任一南边缘路由器1730作为下一个跳跃,并且该决定可基于与任何示出的系统部件无关的因素在流的中间变化。在实施处理1600的这种实施例中,路径选择的变化不影响有状态服务的提供,因为使用共享连接跟踪器1746确保对于到达不同接口的同一数据消息流的数据消息维护正确状态数据。本领域普通技术人员将会理解,尽管图17仅表示形成两组边缘路由元件之间的连接的一个网络边缘装置1710,但在一些实施例中,每个描述的元件代表通过多个边缘装置形成多个不同网络之间的多个连接的一组多个类似元件。
图18表示一些实施例的系统1800。如图中所示,这个系统包括多个虚拟化主机1805和1810(托管顾客虚拟机1850和软件转发元件(SFE)1852)、一组网络管理器计算机1820和网络边缘装置1815。虚拟化主机1805和1810托管计算节点,所述计算节点能够是通过网络1875和网络边缘装置1815向网络1885中的计算节点发送或从网络1885中的计算节点发送的数据消息的源和目的地。网络边缘装置1815被示出为执行实现用于受管网络的逻辑边缘路由器的软件转发元件(SFE),所述受管网络包括由网络1875连接的主机1805-1815。边缘装置1840执行一组逻辑交换机1814和一组服务引擎(例如,服务引擎实例)1845,如上所述。如图18中所示,主机1805和1810、控制器组1820以及网络边缘装置1815以可通信方式通过网络1875耦合,网络1875能够包括局域网(LAN)、广域网(WAN)或网络的网络(例如,互联网)。在一些实施例中,网络1885是同一数据中心中的第二受管网络、第二数据中心中的受管网络和外部网络之一。
所述一组网络管理器计算机1820提供用于定义和管理每个主机上的一个或多个GVM的实例化的控制和管理功能(为了本讨论的目的,网络控制器1820既包括管理面控制器又包括控制面控制器)。在一些实施例中,这些控制器还负责配置边缘装置以提供上述功能。在一些实施例中,这些控制器还提供用于定义和管理在主机的公共软件转发元件上定义的多个逻辑网络的控制和管理功能。
许多上述特征和应用被实现为软件进程,所述软件进程被指定为记录在计算机可读存储介质(也被称为计算机可读介质)上的指令集。当这些指令由一个或多个处理单元(例如,一个或多个处理器、处理器的核或其它处理单元)执行时,它们使(一个或多个)处理单元执行在指令中指示的动作。计算机可读介质的示例包括但不限于CD-ROM、闪存驱动器、RAM芯片、硬盘驱动器、EPROM等。计算机可读介质不包括以无线方式或经有线连接传送的载波和电子信号。
在本说明书中,术语“软件”旨在包括驻留在只读存储器中的固件或存储在磁存储装置中的应用,它们能够被读取到存储器中以由处理器处理。此外,在一些实施例中,多个软件发明能够被实现为更大程序的子部分,同时保持不同的软件发明。在一些实施例中,多个软件发明还能够被实现为分开的程序。最后,一起实现这里描述的软件发明的分开的程序的任何组合落在本发明的范围内。在一些实施例中,当软件程序被安装以在一个或多个电子系统上操作时,软件程序定义执行和进行软件程序的操作的一个或多个特定机器实现方式。
图19概念性地表示用来实现本发明的一些实施例的计算机系统1900。计算机系统1900能够被用于实现任何上述主机、控制器和管理器。如此,它能够被用于执行任何上述处理。这个计算机系统包括各种类型的非暂态机器可读介质和用于各种其它类型的机器可读介质的接口。计算机系统1900包括总线1905、(一个或多个)处理单元1910、系统存储器1925、只读存储器1930、永久存储装置1935、输入装置1940和输出装置1945。
总线1905共同代表以可通信方式连接计算机系统1900的许多内部装置的所有系统、外围和芯片集总线。例如,总线1905以可通信方式连接(一个或多个)处理单元1910与只读存储器1930、系统存储器1925和永久存储装置1935。
从这些各种存储单元,(一个或多个)处理单元1910取得用于执行的指令和用于处理的数据以便执行本发明的处理。在不同实施例中,(一个或多个)处理单元可以是单个处理器或多核处理器。只读存储器(ROM)1930存储(一个或多个)处理单元1910和计算机系统的其它模块需要的静态数据和指令。另一方面,永久存储装置1935是读写存储装置。这个装置是即使当计算机系统1900被关闭时也存储指令和数据的非易失性存储单元。本发明的一些实施例使用大容量存储装置(诸如,磁盘或光盘及其对应盘驱动器)作为永久存储装置1935。
其它实施例使用可移除存储装置(诸如,软盘、闪存驱动器等)作为永久存储装置。像永久存储装置1935一样,系统存储器1925是读写存储装置。然而,与存储装置1935不同,系统存储器是易失性读写存储器,诸如随机存取存储器。系统存储器存储处理器在运行时需要的一些指令和数据。在一些实施例中,本发明的处理被存储在系统存储器1925、永久存储装置1935和/或只读存储器1930中。从这些各种存储单元,(一个或多个)处理单元1910取得用于执行的指令和用于处理的数据以便执行一些实施例的处理。
总线1905还连接到输入和输出装置1940和1945。输入装置使用户能够将信息和选择命令传送给计算机系统。输入装置1940包括字母数字键盘和定点装置(也被称为“光标控制装置”)。输出装置1945显示由计算机系统产生的图像。输出装置包括打印机和显示装置,诸如阴极射线管(CRT)或液晶显示器(LCD)。一些实施例包括既用作输入装置又用作输出装置的装置,诸如触摸屏。
最后,如图19中所示,总线1905还通过网络适配器(未示出)将计算机系统1900耦合到网络1965。以这种方式,计算机能够是计算机的网络(诸如,局域网(“LAN”)、广域网(“WAN”)或内联网)或者网络的网络(诸如,互联网)的一部分。计算机系统1900的任何或全部部件可被结合本发明使用。
一些实施例包括电子部件,诸如微处理器、将计算机程序指令存储在机器可读或计算机可读介质(替代地,被称为计算机可读存储介质、机器可读介质或机器可读存储介质)中的存储装置和存储器。这种计算机可读介质的一些示例包括RAM、ROM、只读压缩盘(CD-ROM)、可记录压缩盘(CD-R)、可重写压缩盘(CD-RW)、只读数字通用盘(例如,DVD-ROM、双层DVD-ROM)、各种可记录/可重写DVD(例如,DVD-RAM、DVD-RW、DVD+RW等)、闪存(例如,SD卡、迷你SD卡、微型SD卡等)、磁和/或固态硬盘驱动器、只读和可记录盘、超密度光盘、任何其它光学或磁介质和软盘。计算机可读介质可存储计算机程序,所述计算机程序可由至少一个处理单元执行并且包括用于执行各种操作的指令集。计算机程序或计算机代码的示例包括诸如由编译器产生的机器代码以及包括由计算机、电子部件或微处理器使用解释器执行的高级代码的文件。
尽管以上讨论主要表示执行软件的微处理器或多核处理器,但一些实施例由一个或多个集成电路(诸如,专用集成电路(ASIC)或现场可编程门阵列(FPGA))执行。在一些实施例中,这种集成电路执行存储在电路本身上的指令。
如本说明书中所使用,术语“计算机”、“服务器”、“处理器”和“存储器”全都表示电子或其它技术装置。这些术语不包括人或人的团体。为了说明书的目的,术语“显示”表示显示在电子装置上。如本说明书中所使用,术语“计算机可读介质”和“机器可读介质”完全局限于以计算机可读的形式存储信息的有形物理物体。这些术语不包括任何无线信号、有线下载信号和任何其它短暂或暂态信号。
尽管已参照许多特定细节描述本发明,但本领域普通技术人员将会意识到,能够在不脱离本发明的精神的情况下以其它特定形式实现本发明。例如,几个附图概念性地表示处理。这些处理的特定操作可不按照示出和描述的精确次序执行。特定操作可不在一个连续系列的操作中被执行,并且不同特定操作可在不同实施例中被执行。另外,处理能够使用几个子处理或作为更大的宏处理的一部分而被实现。因此,本领域普通技术人员将会理解,本发明不应由前面的说明性细节限制,而是应该由所附权利要求定义。
Claims (22)
1.一种用于在网络边缘装置处透明地提供一组网络服务的方法,所述网络边缘装置在分别用于第一逻辑网络和第二物理网络的第一网关装置和第二网关装置之间提供隔离区,所述网络边缘装置以及第一网关装置和第二网关装置在数据中心中执行,所述方法包括:
在所述网络边缘装置的第一多个接口处,从逻辑网络的第一网关装置的第一多个接口接收一组数据消息,所述一组数据消息以物理网络的第二网关装置的对应多个接口为目的地;
在所述一组数据消息中的每个数据消息上提供所述一组网络服务;以及
将在网络边缘装置的特定接口处接收的所述一组数据消息中的每个数据消息转发给接收的数据消息的第二网关装置的特定接口,其中在网络边缘装置的所述特定接口处接收的所述一组数据消息中的每个数据消息以第二网关装置的相同接口为目的地,并且第一网关装置和第二网关装置像网络边缘装置未被插入在网关装置之间那样操作。
2.如权利要求1所述的方法,其中所述网络边缘装置实现逻辑交换机,在所述逻辑交换机处为在第一网关装置和第二网关装置之间发送的所有数据消息提供所述一组网络服务。
3.如权利要求1所述的方法,其中所述隔离区在第一网络和第二网络之间提供保护层。
4.如权利要求1所述的方法,其中所述网络边缘装置实现多个逻辑交换机,在所述多个逻辑交换机处提供至少一种网络服务。
5.如权利要求4所述的方法,其中每个逻辑交换机将连接到第一网关装置的网络边缘装置的第一接口与连接到第二网关装置的网络边缘装置的第二接口相连接。
6.如权利要求5所述的方法,其中所述网络边缘装置实现多个服务引擎实例,所述多个服务引擎实例由所述多个逻辑交换机调用。
7.如权利要求6所述的方法,其中所述第一网关装置是用于多个逻辑网络的网关装置,并且处理从特定逻辑网络发送的数据消息的由网络边缘装置实现的逻辑交换机调用特定服务引擎。
8.如权利要求6所述的方法,其中所述网络边缘装置实现共享连接跟踪器,所述多个逻辑网络中的每个逻辑网络能访问所述共享连接跟踪器,并且所述共享连接跟踪器维护由网络边缘装置处理的每个数据消息流的状态数据。
9.如权利要求8所述的方法,其中所述第一网关装置是用于多个逻辑网络的网关装置,并且由网络边缘装置实现的服务引擎维护用于每个逻辑网络的服务规则集。
10.如权利要求9所述的方法,其中对于接收的数据消息,服务引擎基于与该数据消息关联的逻辑网络标识符识别适用于接收的数据消息的规则集。
11.一种机器可读介质,存储用于由网络边缘装置的一组处理单元执行的程序,所述程序用于在网络边缘装置处透明地提供一组网络服务,所述网络边缘装置在分别用于第一逻辑网络和第二物理网络的第一网关装置和第二网关装置之间提供隔离区,所述网络边缘装置以及第一网关装置和第二网关装置在数据中心中执行,所述程序包括用于以下操作的指令集:
在所述网络边缘装置的第一多个接口处,从逻辑网络的第一网关装置的第一多个接口接收一组数据消息,所述一组数据消息以物理网络的第二网关装置的对应多个接口为目的地;
在所述一组数据消息中的每个数据消息上提供所述一组网络服务;以及
将在网络边缘装置的特定接口处接收的所述一组数据消息中的每个数据消息转发给接收的数据消息的第二网关装置的特定接口,其中在网络边缘装置的特定接口处接收的所述一组数据消息中的每个数据消息以第二网关装置的相同接口为目的地,并且第一网关装置和第二网关装置像网络边缘装置未被插入在网关装置之间那样操作。
12.如权利要求11所述的机器可读介质,其中所述网络边缘装置实现逻辑交换机,在所述逻辑交换机处为在第一网关装置和第二网关装置之间发送的所有数据消息提供所述一组网络服务。
13.如权利要求11所述的机器可读介质,其中所述隔离区在第一网络和第二网络之间提供保护层。
14.如权利要求11所述的机器可读介质,其中所述网络边缘装置实现多个逻辑交换机,在所述多个逻辑交换机处提供至少一种网络服务。
15.如权利要求14所述的机器可读介质,其中每个逻辑交换机将连接到第一网关装置的网络边缘装置的第一接口与连接到第二网关装置的网络边缘装置的第二接口相连接。
16.如权利要求15所述的机器可读介质,其中所述网络边缘装置实现多个服务引擎实例,所述多个服务引擎实例由所述多个逻辑交换机调用。
17.如权利要求16所述的机器可读介质,其中所述第一网关装置是用于多个逻辑网络的网关装置,并且处理从特定逻辑网络发送的数据消息的由网络边缘装置实现的逻辑交换机调用特定服务引擎。
18.如权利要求16所述的机器可读介质,其中所述网络边缘装置实现共享连接跟踪器,所述多个逻辑网络中的每个逻辑网络能访问所述共享连接跟踪器,并且所述共享连接跟踪器维护由网络边缘装置处理的每个数据消息流的状态数据。
19.如权利要求18所述的机器可读介质,其中所述第一网关装置是用于多个逻辑网络的网关装置,并且由网络边缘装置实现的服务引擎维护用于每个逻辑网络的服务规则集。
20.如权利要求19所述的机器可读介质,其中对于接收的数据消息,服务引擎基于与该数据消息关联的逻辑网络标识符识别适用于接收的数据消息的规则集。
21.一种电子装置,包括:
一组处理单元;和
存储程序的机器可读介质,所述程序在由处理单元中的至少一个实现时实现根据权利要求1-10中任一项所述的方法。
22.一种包括用于实现根据权利要求1-10中任一项所述的方法的部件的系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311256008.XA CN117221214A (zh) | 2020-01-14 | 2020-11-04 | 在物理和逻辑网络之间提供有状态服务的透明隔离区 |
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/742,633 | 2020-01-14 | ||
US16/742,685 US10938594B1 (en) | 2020-01-14 | 2020-01-14 | Transparent demilitarized zone providing stateful service between physical and logical networks |
US16/742,663 | 2020-01-14 | ||
US16/742,633 US11411777B2 (en) | 2020-01-14 | 2020-01-14 | Port mapping for bonded interfaces of ECMP group |
US16/742,685 | 2020-01-14 | ||
US16/742,663 US11588682B2 (en) | 2020-01-14 | 2020-01-14 | Common connection tracker across multiple logical switches |
PCT/US2020/058896 WO2021145939A1 (en) | 2020-01-14 | 2020-11-04 | Transparent demilitarized zone providing stateful service between physical and logical networks |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311256008.XA Division CN117221214A (zh) | 2020-01-14 | 2020-11-04 | 在物理和逻辑网络之间提供有状态服务的透明隔离区 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114342333A CN114342333A (zh) | 2022-04-12 |
CN114342333B true CN114342333B (zh) | 2023-10-20 |
Family
ID=73554532
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311256008.XA Pending CN117221214A (zh) | 2020-01-14 | 2020-11-04 | 在物理和逻辑网络之间提供有状态服务的透明隔离区 |
CN202080060192.9A Active CN114342333B (zh) | 2020-01-14 | 2020-11-04 | 在物理和逻辑网络之间提供有状态服务的透明隔离区 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311256008.XA Pending CN117221214A (zh) | 2020-01-14 | 2020-11-04 | 在物理和逻辑网络之间提供有状态服务的透明隔离区 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3991368A1 (zh) |
CN (2) | CN117221214A (zh) |
WO (1) | WO2021145939A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11411777B2 (en) | 2020-01-14 | 2022-08-09 | Vmware, Inc. | Port mapping for bonded interfaces of ECMP group |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003092230A1 (en) * | 2002-04-26 | 2003-11-06 | Valo, Inc. A California Corporation | Methods, apparatuses and systems facilitating aggregation of physical links into logical link |
CN101406008A (zh) * | 2006-06-29 | 2009-04-08 | 华为技术有限公司 | 一种无线接入网关支持透明代理的方法、装置及系统 |
CN104380693A (zh) * | 2012-06-15 | 2015-02-25 | 思杰系统有限公司 | 用于在集群中动态路由的系统和方法 |
CN105144643A (zh) * | 2013-03-15 | 2015-12-09 | 思科技术公司 | 用于网络交换机中的会话链路聚合解析的系统 |
WO2016076900A1 (en) * | 2014-11-14 | 2016-05-19 | Nicira, Inc. | Stateful services on stateless clustered edge |
CN107210959A (zh) * | 2015-01-30 | 2017-09-26 | Nicira股份有限公司 | 具有多个路由部件的逻辑路由器 |
CN107534578A (zh) * | 2015-04-04 | 2018-01-02 | Nicira股份有限公司 | 用于逻辑网络与物理网络之间的动态路由的路由服务器模式 |
CN108259339A (zh) * | 2017-08-31 | 2018-07-06 | 新华三技术有限公司 | 报文发送方法及装置 |
CN108574583A (zh) * | 2017-03-08 | 2018-09-25 | 华为技术有限公司 | 一种设备升级方法及接入设备 |
CN109547354A (zh) * | 2018-11-21 | 2019-03-29 | 广州市百果园信息技术有限公司 | 负载均衡方法、装置、系统、核心层交换机及存储介质 |
CN110278151A (zh) * | 2014-03-21 | 2019-09-24 | Nicira股份有限公司 | 用于逻辑路由器的动态路由 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9450859B2 (en) * | 2012-06-15 | 2016-09-20 | Citrix Systems, Inc. | Systems and methods for deriving unique MAC address for a cluster |
CN104023091B (zh) * | 2013-02-28 | 2018-10-30 | 华为终端有限公司 | 一种多链路融合方法及设备 |
US10104166B2 (en) * | 2014-05-20 | 2018-10-16 | Citrix Systems, Inc. | Systems and methods for providing load balancing as a service |
US9787573B2 (en) * | 2014-12-31 | 2017-10-10 | Juniper Networks, Inc. | Fast convergence on link failure in multi-homed Ethernet virtual private networks |
CN106330780B (zh) * | 2015-06-24 | 2019-08-20 | 联想企业解决方案(新加坡)有限公司 | 用于构成聚合链路的交换机、设备和方法 |
US9967182B2 (en) * | 2015-07-31 | 2018-05-08 | Nicira, Inc. | Enabling hardware switches to perform logical routing functionalities |
US10785315B2 (en) * | 2015-10-30 | 2020-09-22 | Citrix Systems, Inc. | Method for resumption of an application session with a very dynamic and very large state in a standby intermediary device when the primary device fails |
US20180331977A1 (en) * | 2015-11-12 | 2018-11-15 | Hewlett Packard Enterprise Development Lp | Ethernet aggregation between an edge device and a switch |
US10972380B2 (en) * | 2016-04-05 | 2021-04-06 | Versa Networks, Inc. | Method for configuring a connection using redundant service nodes |
US10841273B2 (en) * | 2016-04-29 | 2020-11-17 | Nicira, Inc. | Implementing logical DHCP servers in logical networks |
CN108259328B (zh) * | 2017-08-30 | 2020-06-05 | 新华三技术有限公司 | 报文转发方法及装置 |
-
2020
- 2020-11-04 CN CN202311256008.XA patent/CN117221214A/zh active Pending
- 2020-11-04 EP EP20812203.6A patent/EP3991368A1/en active Pending
- 2020-11-04 CN CN202080060192.9A patent/CN114342333B/zh active Active
- 2020-11-04 WO PCT/US2020/058896 patent/WO2021145939A1/en unknown
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003092230A1 (en) * | 2002-04-26 | 2003-11-06 | Valo, Inc. A California Corporation | Methods, apparatuses and systems facilitating aggregation of physical links into logical link |
CN101406008A (zh) * | 2006-06-29 | 2009-04-08 | 华为技术有限公司 | 一种无线接入网关支持透明代理的方法、装置及系统 |
CN104380693A (zh) * | 2012-06-15 | 2015-02-25 | 思杰系统有限公司 | 用于在集群中动态路由的系统和方法 |
CN105144643A (zh) * | 2013-03-15 | 2015-12-09 | 思科技术公司 | 用于网络交换机中的会话链路聚合解析的系统 |
CN110278151A (zh) * | 2014-03-21 | 2019-09-24 | Nicira股份有限公司 | 用于逻辑路由器的动态路由 |
WO2016076900A1 (en) * | 2014-11-14 | 2016-05-19 | Nicira, Inc. | Stateful services on stateless clustered edge |
CN107077579A (zh) * | 2014-11-14 | 2017-08-18 | Nicira股份有限公司 | 无状态集群边缘上的有状态服务 |
CN107210959A (zh) * | 2015-01-30 | 2017-09-26 | Nicira股份有限公司 | 具有多个路由部件的逻辑路由器 |
CN107534578A (zh) * | 2015-04-04 | 2018-01-02 | Nicira股份有限公司 | 用于逻辑网络与物理网络之间的动态路由的路由服务器模式 |
CN108574583A (zh) * | 2017-03-08 | 2018-09-25 | 华为技术有限公司 | 一种设备升级方法及接入设备 |
CN108259339A (zh) * | 2017-08-31 | 2018-07-06 | 新华三技术有限公司 | 报文发送方法及装置 |
CN109547354A (zh) * | 2018-11-21 | 2019-03-29 | 广州市百果园信息技术有限公司 | 负载均衡方法、装置、系统、核心层交换机及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP3991368A1 (en) | 2022-05-04 |
CN117221214A (zh) | 2023-12-12 |
CN114342333A (zh) | 2022-04-12 |
WO2021145939A1 (en) | 2021-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10333836B2 (en) | Convergence for EVPN multi-homed networks | |
US11588682B2 (en) | Common connection tracker across multiple logical switches | |
US11411770B2 (en) | Virtual port channel bounce in overlay network | |
US11223494B2 (en) | Service insertion for multicast traffic at boundary | |
US11128494B2 (en) | Distributed virtual gateway appliance | |
US10116559B2 (en) | Operations, administration and management (OAM) in overlay data center environments | |
US10938594B1 (en) | Transparent demilitarized zone providing stateful service between physical and logical networks | |
CN107431642B (zh) | 用于控制交换机以捕获和监视网络流量的系统和方法 | |
US10432426B2 (en) | Port mirroring in a virtualized computing environment | |
EP3058687B1 (en) | Configurable service proxy mapping | |
US10313205B2 (en) | Context-sensitive command whitelisting for centralized troubleshooting tool | |
CN113454598A (zh) | 提供具有访客vm移动性的服务 | |
CN110198337B (zh) | 网络负载均衡方法、装置、计算机可读介质及电子设备 | |
EP3605968B1 (en) | N:1 stateful application gateway redundancy model | |
US8959201B2 (en) | Limiting control traffic in a redundant gateway architecture | |
CN114342342A (zh) | 跨多个云的分布式服务链 | |
US11411777B2 (en) | Port mapping for bonded interfaces of ECMP group | |
US9008080B1 (en) | Systems and methods for controlling switches to monitor network traffic | |
US11627080B2 (en) | Service insertion in public cloud environments | |
US20220006687A1 (en) | Service chaining with service path monitoring | |
CN114342333B (zh) | 在物理和逻辑网络之间提供有状态服务的透明隔离区 | |
US10447581B2 (en) | Failure handling at logical routers according to a non-preemptive mode | |
US11558220B2 (en) | Uplink-aware monitoring of logical overlay tunnels | |
US20230163997A1 (en) | Logical overlay tunnel selection | |
Imiefoh | Network Gateway Technology: The Issue of Redundancy towards Effective Implementation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |